2024年の夏に、私はケイパビリティ(機能)とユーザビリティ(使いやすさ)というテーマでブログを書きました。その中で、業界の重要な課題のひとつがスキルであるにもかかわらず、業界のテストは一般的にケイパビリティ(機能)に焦点を当てていることを強調しました。

EDRはその性質上、技術的な能力であり、この分野でのスキル・ギャップはさらに大きくなります。数年前、親友が基調講演で、最高のソリューションを購入しても、それを実際に使用する人材がいなければ、ほとんど意味がないと話していたのを、私はずっと覚えています。

サイバーリーズンの最近のSOC最適化リサーチでは、アラートの平均50-80%しか即日処理されておらず、誤検知がSOCアナリストにとって重要な課題であり、目障りになっていることがわかりました。

これらのことから、MITREのようなテストを実施する組織が、その範囲を拡大し、ケイパビリティ(機能)とユーザビリティ(使いやすさ)の両方がさらにわかりやすくなっていることを非常にうれしく思います。

ケイパビリティ(機能)

MITREは2024年はケイパビリティ・テストの範囲を拡大し、Windows、Mac、Linuxシステムにまたがる3つの異なる攻撃者によるランサムウェアと脅迫の両方を対象としました。一般的に私たちは、どれだけ検出できたか、どれだけ防止できたかという結果に目を奪われがちですが、ケイパビリティ・テストを見る際に私にとって最も重要な第三の指標があります。それは枠を超えた検出範囲です。

なぜこれが実際のケイパビリティと同じくらい重要なのでしょうか?

1つ目として、誤検知を排除するために振る舞い検知方法をチューニングする必要がある場合、これはテストの評価のためだというサインと言えます。充分な自信がないためか、ベンダーはデフォルトで検知制御をオンにする必要がありましたが、その機能が何度も 「狼の泣き声 」を上げることになるとは思っていませんでした。そのため、ベンダーにとっては多くのサポートコールが発生し、顧客にとってはすべてのアラートを即日処理するためのケイパビリティに大きな影響を与える可能性があります。

2つ目に、顧客の知識要件が増えます。各検出機能が持つ価値を理解するスキルが必要であり、その機能から価値を得るために適切な許可リストとブロックリストを構築する専門知識が必要です。

ユーザビリティ(使いやすさ)

2024年のテストでは、MITREは実際に誤検知の数を追跡しました。結果としては、サイバーリーズンのように誤検知ゼロのベンダーから、実際の検知数とほぼ同数の誤検知を記録したベンダーまで様々でした。簡単に言えば、同じ結果を得るためには2倍のスタッフが必要ということですが、通常、誤検知であることを証明するには、本物の検出を確認するよりも時間がかかるため、現実には不可能です。

これは当然、もう1つの重要な指標である、検出ステップの何パーセントが「枠を超えて」検出されたかということとリンクしています。アナリストが提示した結果に確信が持てない場合、まず最初にしたいことは、仮説を証明または反証する証拠を調べるために戻ることです。検知のステップのパーセンテージが低ければ低いほど、攻撃の多くが見逃されていることになります。簡単に言えば、ジグソーパズルのピースがすべて揃っていないときに、絵柄を推測しようとするようなものです。そして、ピースが欠ければ欠けるほど、絵を見るのが難しくなることは周知の通りです。これは脅威の検知も同じと言えます。

私にとって最も興味深い結果は、MITREのテストで利用された脅威を検知するために、どれだけのアラートが発動されたかということです。脅威は何百ものテクニックや戦術で構成されることがあり、あらゆるエンドポイント・ソリューションは、攻撃を検知・防止するために使用される多くの異なるレイヤーや機能で構成されていることを私たちは知っています。

同様に、攻撃は気づかれないことが多く、攻撃者が組織内に長く留まるほどビジネスへの悪影響が大きくなることも知っています。攻撃はセキュリティ・ソリューションでアラートをトリガーしますが、各アラート単独では検出を重要なものとして定義するには十分ではありません。したがって、私たちはアナリストのスキルに大きく依存しています。

では、潜在的なアラート過多はどの程度なのでしょうか。サイバーリーズンによって生成されたアラートはわずか18件で、すべての攻撃を100%検知することができます。参加者の範囲は実にさまざまで、最悪のものでは60万件以上のアラートが生成されました。私たちのSoC最適化調査に話を戻すと、MTTD/Rは平均して2~4時間です。

しかし、リスクの高いアラートだけに集中したらどうでしょうか?ほとんどのベンダーはまだ数百件、中には数千件に及ぶアラートもありました。しかし、それとは関係なく、このアプローチを取ることで、多くの攻撃者が望む罠にはまることになります。攻撃者は、組織が一般的にアラート疲れに苦しんでいることを知っており、そのため低リスクのアラートがトリガーされても気にしないことが多いです。「脅威を見逃しました」や「注力するほど重要な脅威とは判断できませんでした」と企業に報告することを想像できますか?

では、なぜサイバーリーズンは少ないアラートでこのようなことができるのでしょうか?それは、当社のMalOp™アプローチがユニークだからです。

私たちはすべてのアラートテレメトリーを収集し、MITRE ATT&CKフレームワークに照らし合わせて分類し、機械学習を用いて攻撃ライフサイクルにおけるアラートの左右を効果的に調べ、端末レベルだけでなく、お客様が持つすべてのシステムにわたって隣接する断片を見つけます。私たちはこれをMalOp™ Cross Machine Correlation(CMC)と呼んでいます。

しかし実際には、どのマネージド・サービスもその背後にあるものに依存しており、マネージド・サービスは、顧客のすべてのアラートをより効率的に処理することができればできるほど、スケールが向上し、より迅速に対応することができます。マネージド・エンドポイント・サービスにサインアップする前に、MITRE ATT&CK エンタープライズ評価にあるすべてのメトリクスに挑戦することを検討すべきです。

要点

サイバー脅威が複雑化し続けていることは明らかであり、それを検知・防止するためのソリューションも複雑化しています。過去を見ると、業界のテストはケイパビリティに焦点を当てており、各自が独自のユーザビリティ・テストを行う必要がありました。

今日、どのサイバーセキュリティチームもアラート疲れと闘っています。この問題は、セキュリティの対象が増え、脅威の量と複雑さが増し、検出するためにこれまで以上に独創的な方法が必要になるにつれて、ますます蔓延していきます。同時に、MTTD/Rに対する企業や規制当局の期待は縮小の一途をたどっており、これがサイバーセキュリティにおけるタイム・パラドックスと言えます。

MITREは、多くのテスターと同様、テスト能力を進化させ続けており、ユーザビリティが今やテストに不可欠な要素になりつつあることは素晴らしいことです。多くのEDRツールは、特に多くの技術的知識を必要とします。どのようなメトリクスが適切なソリューションを見つけるのに役立つかを検討する際に、以下のことを考慮するよう、私は推奨します。

(1) サイバーセキュリティチームのスキルレベルはどの程度か。

  • 1日に何件のアラートをトリアージできるか。
  • どの程度の知識の深さまで踏み込むことができるか。

(2) テスト結果を見るときは、次のことを考慮する。

  • ソリューションから最高の価値を得るために、どの程度のチューニングが必要か。
  • 誤検知の数は?
  • 実際に自信を持って脅威に対応できるようになるまでに、どれだけのアラートが生成されるか?

このことから、自社のビジネスにおけるケイパビリティとユーザビリティの指標のバランスを判断することができるはずです。明確なことは、これらの指標はいずれも、あらゆるビジネスのエンドポイントセキュリティ戦略の成功に不可欠であるということです。

【グローバル調査結果】2023年版 ランサムウェアと最新のSOC〜ランサムウェアがSOCを最新化するために与えた影響〜

セキュリティオペレーションセンター(SOC)は、その規模や成熟度にかかわらず、人材不足、可視性や自動化の欠如、ツールの増加、アラート過多などが原因で、常に窮地に立たされています。攻撃者の一歩先を行くこと、セキュリティ投資に対するリターンを示すこと、そしてスタッフを燃え尽きるほど酷使しないようにすること、このような課題に常に取り組んでいる現状は、多くのSOCにとって耐え難いものです。

サイバーリーズンの新しい調査では、世界8ヶ国、12業種における1,203人のサイバーセキュリティ担当者を対象として、SOCが現在直面している課題は何か、そしてそれらの課題がSOCの最新化にいかなる影響を与えているかについてアンケートを実施しました。

本レポートでは、調査結果を元に、ランサムウェアとSOCの最新化やサイバーセキュリティ担当者が直面している4つの必要性について紹介します。
https://www.cybereason.co.jp/product-documents/survey-report/10369/